7 de marzo de 2026

Hackers chinos atacan Sudamérica: TernDoor, PeerTime y BruteEntry al descubierto

Hackers chinos atacan Sudamérica: TernDoor, PeerTime y BruteEntry al descubierto

Un grupo de hackers vinculado a China, conocido como UAT-9244, ha estado atacando infraestructura de telecomunicaciones clave en Sudamérica desde 2024. Los ataques se dirigen a sistemas Windows y Linux, así como a dispositivos de borde de red, utilizando tres programas maliciosos (también llamados "implantes") distintos. Esto pone en riesgo las comunicaciones y la seguridad de la información en la región.

Cómo funciona el ataque

La empresa de ciberseguridad Cisco Talos está rastreando esta actividad y la ha asociado con otro grupo llamado FamousSparrow, que a su vez tiene conexiones con Salt Typhoon, un grupo de espionaje chino que también se enfoca en proveedores de servicios de telecomunicaciones. Aunque hay similitudes entre UAT-9244 y Salt Typhoon, no hay pruebas definitivas que los conecten directamente.

Los ataques usan tres programas maliciosos:

  • TernDoor: Ataca sistemas Windows. Se instala aprovechando una función legítima del sistema ("DLL side-loading") usando el archivo "wsprint.exe".
  • PeerTime (también conocido como angrypeer): Se dirige a sistemas Linux.
  • BruteEntry: Se instala en dispositivos de borde de red (routers, firewalls, etc.) para convertirlos en puntos de acceso para escanear masivamente redes y realizar ataques de fuerza bruta (adivinar contraseñas) contra servidores Postgres, SSH y Tomcat.

Aunque no se sabe con certeza cómo acceden inicialmente a los sistemas, se ha visto que los atacantes aprovechan versiones antiguas de Windows Server y Microsoft Exchange Server para instalar "web shells" (interfaces web maliciosas) que les permiten controlar los sistemas.

TernDoor, por ejemplo, se camufla como un archivo DLL legítimo ("BugSplatRc64.dll") y se inyecta en un proceso del sistema ("msiexec.exe") para evitar ser detectado. Luego, se conecta a un servidor de comando y control (C2) para recibir instrucciones y ejecutar comandos, leer o escribir archivos, recopilar información del sistema e incluso instalar controladores para ocultar sus actividades.

PeerTime, por su parte, está diseñado para infectar una variedad de sistemas integrados (ARM, AARCH, PPC, MIPS) y utiliza el protocolo BitTorrent para obtener información de sus servidores de control, descargar archivos y ejecutarlos en los sistemas comprometidos.

A quién afecta

Estos ataques se dirigen específicamente a la infraestructura de telecomunicaciones en Sudamérica, lo que podría afectar la disponibilidad y seguridad de los servicios de comunicación, tanto para empresas como para usuarios particulares.

Qué significa esto para ti

Si eres usuario o empresa en Sudamérica, es crucial mantener tus sistemas actualizados, especialmente Windows Server y Microsoft Exchange Server. Refuerza la seguridad de tus dispositivos de borde de red y monitorea tu red en busca de actividades sospechosas. Estar al tanto de estas amenazas y tomar medidas preventivas puede reducir significativamente el riesgo de ser víctima de estos ataques.

Fuente: https://blog.talosintelligence.com/uat-9244/
← Anterior Hackers vinculados a Irán atacan redes e...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Inteligencia Artificial encuentra 22 vulnerabilidades en Firefox: ¿Qué significa esto para tu seguridad?
Hackers vinculados a Irán atacan redes en EE.UU. con un nuevo malware llamado Dindoor
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

CiberRadar
← Volver al inicio